skip to Main Content
PAR L’AUTORITÉ SINGAPOURIENNE DE PROTECTION DES DONNÉES : Engagement De StarMed Specialist Centre Pte Ltd

PAR L’AUTORITÉ SINGAPOURIENNE DE PROTECTION DES DONNÉES : Engagement de StarMed Specialist Centre Pte Ltd

This post is also available in: Italiano English Español

Le 7 février 2020, la Commission de la protection des données personnelles (la « Commission ») a reçu une notification de violation de données de la part de StarMed Specialist Centre Pte Ltd (« StarMed »), l’informant que le logiciel de rançon avait infecté l’un de ses serveurs et crypté une base de données contenant les données personnelles de 373 patients. Les données personnelles comprenaient le nom, le numéro NRIC, la date de naissance, le sexe, les données de l’électrocardiogramme et les données des tests d’effort sur tapis roulant.

Il a été établi que StarMed n’avait pas mis en œuvre les mesures de sécurité nécessaires au moment de l’incident. Un port RDP (Remote Desktop Protocol) avait été laissé ouvert, ce qui a probablement permis l’accès non autorisé à la base de données. En outre, le serveur et la base de données présentaient tous deux des faiblesses au niveau des identifiants de connexion et des mots de passe.

Mesures correctives

Après l’incident, StarMed a désactivé le port RDP et toutes les connexions publiques sur le pare-feu. Il a également formalisé ses procédures internes de traitement des mots de passe dans une politique écrite en la matière. De plus, StarMed a mis en place plusieurs initiatives de renforcement de la sécurité informatique, notamment la mise en place d’un réseau étendu sécurisé et d’une suite de protection contre la cybersécurité. StarMed continuera également à sensibiliser son personnel aux questions de cybersécurité en organisant des formations supplémentaires dans le cadre de ses ateliers de sensibilisation à la cybersécurité, dirigées par un consultant externe en cybersécurité.

Engagement

La Commission a examiné les circonstances de l’affaire et a accepté un engagement de StarMed visant à améliorer son respect de la loi de 2012 sur la protection des données personnelles. L’engagement a été exécuté le 12 octobre 2020 (l' »engagement »).

L’engagement prévoit que StarMed devait :

(a) revoir les politiques de mots de passe relatives aux serveurs et aux équipements informatiques de StarMed stockant des données à caractère personnel ;
(b) revoir le processus d’authentification des connexions sur les serveurs de StarMed et les équipements informatiques stockant des données à caractère personnel ;
(c) examiner la nécessité d’un système d’alerte en cas d’échec de plusieurs tentatives de connexion à un compte sur les serveurs de StarMed et les équipements informatiques stockant des données à caractère personnel, y compris la consignation de ces tentatives ;
(d) une fois que la Commission a approuvé le plan de mise en œuvre proposé, se conformer à toutes les obligations énoncées dans le plan de mise en œuvre ;
(e) nommer des personnes ayant une autorité suffisante pour superviser le respect de l’engagement et pour rendre compte de l’état de conformité à la Commission ; et
(f) fournir à la Commission, à la demande de celle-ci, un rapport d’étape confirmant si StarMed a respecté chacune des mesures spécifiques énoncées dans le plan de mise en œuvre.

Depuis lors, StarMed a fourni à la Commission le rapport de situation visé au paragraphe 5, point f), ci-dessus. La Commission a examiné la question et déterminé que StarMed a respecté les termes de l’engagement.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DI SINGAPORE – pdpc

Back To Top